Разное Август 20, 2025
На днях выявили уязвимость в M365 Copilot, позволяющую пользователям просматривать данные файлов без фиксации действий в журнале аудита.
Причём баг появился случайно — это не результат какой-то сложной атаки. Зак Корман, CTO компании Pistachio, предупреждает: злоумышленники внутри организации могут воспользоваться этим, чтобы оставаться незамеченными при доступе к конфиденциальным документам. Для компаний, которые полагаются на точные журналы аудита для безопасности, соответствия требованиям и расследования инцидентов, это серьёзный риск.
Корман сообщил о проблеме Microsoft, и разработчики уже исправили уязвимость в Copilot. Но когда компания отказалась уведомлять клиентов, исследователь решил обнародовать баг самостоятельно. Он считает, что организации должны знать: их журналы аудита могли быть неполными.
По словам Кормана, Microsoft Security Response Center (MSRC) нарушила собственные правила работы с отчётами об уязвимостях. Статус отчёта меняли без объяснений, а процесс Корман назвал «трекером Domino’s Pizza для исследователей безопасности» — больше фарс, чем реальная работа. Первоначально MSRC заявила, что CVE присваивать не будет, поскольку баг классифицирован как «важный», а не «критический», и клиентам якобы не нужно предпринимать действия. Microsoft также сообщила, что уведомлять пользователей не планирует. Корман с этим категорически не согласен: компании должны знать о возможных пробелах в аудите.
Молчание Microsoft особенно опасно для организаций под строгим регулированием, например, тех, кто соблюдает HIPAA, где журналы аудита критичны для соответствия требованиям. Неполные записи могут серьёзно осложнить обнаружение и расследование инцидентов. То, что уязвимость исправили тихо и без уведомлений, ставит под сомнение ответственность компании перед пользователями, ведь эксплуатация бага не требует особых навыков. Теперь организациям стоит пересмотреть свои недавние журналы аудита на предмет пропусков и неточностей.
